L’éveil de Mythos - L’IA transforme le code en terrain de chasse
En observant l'évolution fulgurante de l'intelligence artificielle ces dernières années, j'ai souvent ressenti un mélange d'émerveillement et d'appréhension. Mais l'annonce faite aujourd'hui par Anthropic concernant son nouveau modèle de frontière, Mythos, marque une rupture qui dépasse le simple cadre de l'innovation logicielle. En dévoilant ce dernier en avant-première, l'entreprise sonne l'alarme sur l'obsolescence programmée de notre sécurité numérique actuelle. Cette démarche est l'aveu brut d'une technologie jugée trop puissante et dangereuse pour être laissée entre les mains du grand public.
Du secret maladroit à la puissance brute
Parlons maintenant, si vous le voulez bien, de genèse chaotique. L'existence de Mythos n'est pas tout à fait une surprise pour ceux qui suivent l'actualité de près. Le mois dernier, une fuite documentée par le magazine Fortune a révélé un brouillon d'article de blog laissé dans un cache non sécurisé sur un lac de données public. Anthropic a plaidé l'erreur humaine. Ce document décrivait un modèle alors nommé en code Capybara, présenté comme appartenant à un tout nouveau palier d'intelligence, surpassant largement les modèles Opus qui étaient jusqu'alors le fleuron de l'entreprise. Le mémo interne affirmait sans détour qu'il s'agissait du LLM le plus puissant jamais développé par leurs équipes, doté de capacités de raisonnement académique et de codage dépassant l'entendement.
Cette fuite n'était d'ailleurs pas le seul faux pas récent de l'entreprise. Lors du lancement de la version 2.1.88 de son progiciel Claude Code, la fimre américaine a exposé accidentellement près de deux mille fichiers sources et plus d'un demi-million de lignes de code. En tentant de nettoyer ce désordre, elle a provoqué par erreur la suppression de milliers de dépôts de code sur Github. Ces incidents trahissent une tension palpable. Une société, qui court à une vitesse folle vers l'innovation, trébuche parfois sur ses propres lacunes de sécurité, tout en développant une machine capable de réécrire les règles de cette même sécurité.
L'ironie du codage: Le remède est aussi le poison
Le modèle Mythos n'a pas été entraîné spécifiquement pour la cybersécurité. La stratégie d'Anthropic a toujours été de rendre Claude exceptionnellement doué pour les tâches de programmation avancées, ciblant à la fois les développeurs professionnels et les vibecoders amateurs. Le corollaire de cette excellence est perturbant. Un système conçu pour générer du code parfait est capable, de manière intrinsèque, de repérer la moindre faille dans un code existant.
Les cadres de l'entreprise affirment que Mythos possède de puissantes capacités de raisonnement et de codage agentique, lui permettant de mener des recherches de sécurité de manière autonome. En quelques semaines d'essais, il a identifié des milliers de vulnérabilités "zero-day", dont beaucoup sont critiques et passées inaperçues pendant 10 à 20 ans.
"Ce modèle est doué pour trouver des vulnérabilités qui seraient bien comprises et repérables par des chercheurs en sécurité. En même temps, il a trouvé des vulnérabilités, et dans certains cas conçu des exploits, suffisamment sophistiqués pour avoir échappé à des décennies de chercheurs en sécurité, ainsi qu'à tous les outils automatisés conçus pour les trouver." Logan Graham, responsable de l'équipe de test des capacités dangereuses chez Anthropic.
Parmi ses trophées de chasse, Mythos a déniché un bug vieux de 27 ans dans OpenBSD, un système d'exploitation open-source réputé inviolable et utilisé dans les routeurs et pare-feu. Il a également déniché un problème persistant dans un logiciel vidéo très populaire, un défaut qui avait pourtant survécu à cinq millions d'analyses par des outils de test automatisés. La terreur de l'industrie repose sur un fait simple. Ces exploits pourraient potentiellement être déclenchés par de simples amateurs utilisant des prompts basiques si le modèle était rendu public.
Le Projet Glasswing - Une alliance industrielle face à la tempête
Face à ce qu'elle considère comme une nouvelle ère effrayante de menaces, Anthropic a pris une décision radicale, rappelant le choix d'OpenAI en 2019 de retenir la sortie complète de GPT-2 par crainte de la génération poussée de propagande. La start-up ne rendra pas Mythos accessible au grand public. À la place, elle a lancé le Projet Glasswing.
Jared Kaplan, leur scientifique en chef, explique que ce nom fait référence au papillon aux ailes de verre (Glasswing), capable de se cacher à la vue de tous grâce à sa transparence. C'est la métaphore parfaite des failles logicielles tapies au cœur de nos systèmes critiques. Pour débusquer ces menaces, l'entreprise a rassemblé une coterie de plus de quarante partenaires technologiques. Ce consortium inclut des concurrents comme Google et Microsoft, des géants comme Apple, Amazon, Broadcom et Cisco, des spécialistes de la sécurité tels que CrowdStrike et Palo Alto Networks, ainsi que des entités fondamentales comme la Linux Foundation.
Le but de cette coalition est strictement défensif. Les partenaires utiliseront Mythos pour scanner et sécuriser les logiciels critiques, qu'ils soient propriétaires ou open-source. Pour soutenir cet effort monumental, Anthropic s'engage à fournir jusqu'à 100 millions de dollars en crédits d'utilisation de Claude. À terme, les découvertes seront partagées pour en faire bénéficier l'ensemble de l'industrie tech. L'urgence est bien réelle. Ce qui prenait autrefois des mois prend désormais quelques minutes avec l'IA.
Géopolitique et l'économie de la prudence
Il est impossible d'analyser cette annonce sans la replacer dans le contexte géopolitique et financier dans lequel navigue Anthropic. L'entreprise est actuellement engagée dans un bras de fer juridique retentissant avec l'administration Trump. Le Pentagone a qualifié récemment le laboratoire d'IA de risque pour la chaîne d'approvisionnement, une sanction directe suite à son refus de permettre l'utilisation de sa technologie pour le ciblage autonome ou la surveillance des citoyens américains. Bien qu'un juge fédéral ait suspendu cette désignation, Anthropic affirme être en discussions continues avec des responsables fédéraux concernant l'utilisation de Mythos, des pourparlers inévitablement complexifiés par ce climat de tension.
Pourtant, cette prudence éthique et sécuritaire n'entrave en rien sa croissance astronomique. Portée par la popularité de Claude auprès des programmeurs, Anthropic a annoncé lundi que ses revenus annuels projetés avaient plus que triplé en 2026, passant de 9 à plus de 30 milliards de dollars. Ce paradoxe est captivant, la firme amasse des milliards en construisant des systèmes de plus en plus puissants, tout en étant l'une des voix les plus fortes pour alerter sur les dangers de ses propres créations.
Si nos infrastructures physiques et nos données personnelles reposent sur du vieux code qui n'était sécurisé que parce qu'il nécessitait un effort humain pour être attaqué, ce paradigme de sécurité a-t-il encore un sens aujourd'hui ? Faudra-t-il réécrire l'intégralité des logiciels critiques du monde ?
Les capacités de cybersécurité de Mythos sont une facette de son intelligence supérieure. D'autres modèles concurrents atteindront bientôt ce niveau, escaladant irrémédiablement la course aux armements entre hackers et défenseurs. Mythos est donc probablement le modèle le moins capable auquel nous aurons accès à l'avenir.